Google、脆弱性を発見したウルグアイの学生に1万ドルの報奨金

ESETは8月16日(米国時間)、「Google pays $10,000 for student’s bug」において、Googleが機密データにアクセスできる可能性を持ったGoogle App Engineサーバの脆弱性を発見したウルグアイの学生に1万米ドルの報奨金を支払ったと伝えた。

脆弱性を発見したウルグアイの学生は自身のブログで、Google App Engineサーバの脆弱性を発見し、Googleに報告した経緯を説明している。

この学生は当初、脆弱性を発見するいくつかの取り組みを行って失敗したあと、まったくセキュリティチェックを行わない内部Webページにアクセスすることができたという。

そして、/engにリダイレクトされたあと、Googleが外部のユーザーがアクセスすることを想定したサーバではないことに気がついたという。学生はGoogle Confidentialフッターからいくつかの情報を読んだあとで調査を行い、この問題をGoogleに報告したと説明している。

学生は当初、この問題はそれほど重要なものではないと考えていたが、報告を受けたGoogleの調査チームはこの脆弱性が攻撃者によって悪用された場合に機密データにアクセスできる可能性があるものと認定し、1万米ドルの報奨金に相当すると判断したという。

脆弱性を発見した学生がGoogleから受け取ったメール $10k host headerより引用

自社の製品やサービスの脆弱性が発見された際に報奨金を支払う制度(バグ・バウンティ・プログラム)は、Googleをはじめさまざまな業界が実施しており、脆弱性の発見に効力を発揮していると考えられている。

関連キーワード


人気記事

一覧

イチオシ記事

新着記事